Gestaffelte Verteidigung gegen Cyber-Angriffe im Lebenszyklus von Medizinprodukte-Software

Annex I der Medizinprodukte Verordnung verlangt von Medizinprodukte-Software-Herstellern die Grundsätze des Entwicklungslebenszyklus, des Risikomanagements, einschließlich der Informationssicherheit zu berücksichtigen.
Die ‚Guidance on Cybersecurity for medical devicesWesentliche Guidance‘ sowie Guidance-Dokumente des BSI und der FDA heben in diesem Zusammenhang die Bedeutung einer gestaffelten Verteidigung (Defense-in-Depth) und deren Entwurf und Entwicklung im Rahmen eines geeignet angepassten Entwicklungsprozesses (Secure Apllication Development Lifecycle oder auch Secure Product Development Framework) einer Software hervor.
Der Vortrag erläutert und verdeutlicht, was gestaffelte Verteidigung bedeutet, wie sie umgesetzt wird und welche Verantwortung dabei bei Herstellern und welche bei den Betreibern liegt. Ein besonderer Schwerpunkt liegt auf einem Überblick, was Hersteller bei der Anpassung ihrer bestehenden Prozesse zur Entwicklung IT-sicherer Software berücksichtigen müssen. Dazu gibt es verschiedene Modell-Ansätze, wie z.B. den der IEC 62443, den des NIST-SP-800-160 oder den des ‚Medical Device and Health IT Joint Security Plan‘. Ein gelungener Prozess verknüpft dabei Safety und IT-Security Risikomanagement und legt großen Wert auf geeignete Marktüberwachungs-Aktivitäten. Der Vortrag schließt mit praktischen Hinweisen zur Umsetzung einer Defense-in-Depth-Strategie, die alle Schritte von der Anforderung bis zur Marktüberwachung eines Produktes abdeckt.

Was lernen die Zuhörer in dem Vortrag:

Der Vortrag beantwortet die folgenden Fragen:


• Was ist eine gestaffelte Verteidigung
• Wofür ist der Hersteller, wofür der Betreiber verantwortlich
• Wie muss ein Produktlebenszyklus beschaffen sein, damit eine gestaffelte Verteidigung entsteht
• Welche etablierten Ansätze gibt es
• Wie müssen Risikomanagement und Marktüberwachung ergänzt werden, um IT-Sicherheit in vernüftigem Umfang gewährleisten zu können.

Referent: Christian Alexander Graf - Qualitätssicherung & Statistik

Dipl.-Math. Christian Alexander Graf berät Unternehmen zu den Themen Lebenszyklus und Prozesse, Teststrategien, V&V, Statistische Prozesskontrolle, Datenanalysen und Daten-Sicherheit.
Er besitzt langjährige Erfahrung in Verifizierung, Validierung und Datenanalyse aus unterschiedlichen industriellen und wissenschaftlichen Feldern und hält zudem Vorlesungen in Statistik und IT-Sicherheit u.a. an der DHBW in Mannheim.
Er ist Mitautor des Buches ‚Basiswissen Sicherheitstests‘ und hat zahlreiche Fachbeiträge zu Themen rund um Cyber-Sicherheit, Datenanalyse, Verifizierung & Validierung verfasst.